Connect with us

Cybersäkerhet

Att säkra infrastruktur mot ransomware – tankeledare

mm
Published
Updated

Av Dr. Aviv Yehezkel, medgrundare och CTO, Cynamics

Från sjukhus till skolor till köttförpackningsanläggningar, är ingen bransch försumbar för ransomware-angripare. Ransomware kommer att kosta amerikanska företag 3,68 miljarder dollar bara i år. Nätverks- och säkerhetsoperatörer behöver högnivåtäckning av nätverket för att förhindra och mildra ransomware-attacker. Den ökande komplexiteten i arkitekturerna – som inkluderar äldre lokala, virtuella och molnbaserade komponenter som körs på nätverket – har gjort det nästan omöjligt att få fullständig insyn. Status quo fungerar inte. En ny approach behövs.

Nuvarande lösningar kan inte möta nätverkskraven

Förutom att bli mer komplexa, har nätverken också ökat i storlek, skala och volym. Inom sektorer hanterar dessa nätverk enorma mängder data som fortsätter att växa i volym och omfattar fler slutpunkter, mer anslutning (intern och extern) och fler nätverksplatser (fysiska och/eller logiska). Medan nätverken exponentiellt ökar i skala och komplexitet, förlitar sig de flesta säkerhetslösningarna fortfarande på traditionella metoder som apparater och agenter. Och dessa är inte utformade för dessa nivåer av komplexitet och dessa datavolymer.

Nuvarande nätverksupptäckt och respons (NDR) lösningar är fortfarande baserade på en approach som är avsedd för nätverk som tillhör en enklare tid. Lösningarna är mödosamma, dyra att implementera och alltmer ineffektiva. De innebär att man placerar ut apparater, sensorer och/eller sändare som samlar in och analyserar nätverksdata. Men det är inte möjligt att täcka hela nätverket med dessa apparater. De kräver analys av 100% av nätverksdatat – vilket inte är praktiskt. Det tvingar företagen att kompromissa varje dag genom att begränsa täckning och upptäckt till små delar av nätverket, vilket lämnar större delen av nätverket som en sårbar blind fläck.

Dessutom använder de flesta NDR-leverantörer en apparatbaserad approach som tappar eller sprider portar för att analysera nätverkstrafik. Detta skalar inte lätt och utökar en organisations angreppsyta som en direkt bakdörr in i kärnan av klientnätverket, som noterades så många gånger förra året med supply-chain-attacker “pandemin”. I dagens sammanlänkade digitala miljö, misslyckas denna approach med att ge tillräcklig transparens över alltmer komplexa smarta nätverk och lämnar organisationer sårbara för blindfläckar.

Problem med synlighet och nyhet

De flesta ransomware-attacker börjar med en nätverksintrång som vanligtvis möjliggörs via en sårbarhet i nätverksperimetern. Och de illasinnade aktörerna kommer att börja röra sig genom ditt nätverk och försöka maximera skadan, hoppa från en plats till en annan, tills de infekterar tillräckligt många värdar för att användas för attacken. De kommer att hitta blindfläckarna som inte övervakas – när du lämnar områden oövervakade, skapar du mycket utrymme för cyberkriminella att smyga in.

Det finns ett annat betydande problem också: med de flesta upptäcktslösningar, går nyheterna obemärkta. De är utbildade för att leta efter mycket specifika signaturer och regler som är associerade med kända ransomware-aktiviteter. Men nya varianter och typer av ransomware-attacker utvecklas hela tiden – och även en liten förändring från signaturerna som dessa verktyg är utbildade att upptäcka och flagga kan orsaka att attacken går obemärkt.

AI och ML:s roll

Mänskliga analytiker, hur smarta och kapabla de än må vara, kan helt enkelt inte övervaka dagens nätverk på egen hand – och du kan inte täcka hela nätverket med apparater och agenter. Men att lämna delar av ditt nätverk oövervakade är inte ett alternativ. Angripare och cyberkriminella är alltid på jakt efter sätt att infiltrera och smyga in.

Hur kan du övervinna dessa utmaningar? AI och maskinlärning (ML) tekniker kan spela en nyckelroll i nätverksupptäckt och respons. ML kan användas för att härleda beteendet hos hela 100% av nätverkstrafiken, baserat på sampling av bara en liten bråkdel av nätverksdata. Och sedan kan den automatiskt lära sig om ett nätverksmönster är legitimit eller misstänkt och självständigt “förstå” förändrade trender i nätverket.

Vad som gör ML och AI så hjälpsamma är deras förmåga att upptäcka de dolda mönster som signalerar attacker – för att avslöja vad som verkligen sker på nätverken i realtid. Detta eliminerar det omöjliga och dyra behovet av att täcka hela nätverket. Detta hjälper också till att hantera problemet som noterades ovan om den pågående utvecklingen av nya former av ransomware-attacker.

Innovation krävs

Ransomware är obarmhärtig. Det är uppenbart vid det här laget att äldre säkerhetslösningar inte fungerar eller håller jämna steg med den utvecklande hotbilden. Det är en plåga som kostar organisationer miljarder dollar; det verkar ostoppbart, men det måste stoppas. Men det är lättare sagt än gjort när de flesta nätverk blir alltmer komplexa och innehåller en blandning av äldre och nya komponenter.

Cyberkriminella utnyttjar AI, så nätverksoperatörer behöver också göra det. En ny säkerhetsstrategi bör inkludera AI-drivna, sample-baserade NDR. Lösningar av denna typ använder en liten del av nätverkstrafiken för att lära sig vad som är normalt för hela nätverket, vilket möjliggör synlighet som inte annars är möjlig. Det är ett exempel på den typ av innovativa lösningar som behövs för att ligga före ransomware och de många andra nätverkshot som är i drift idag.

Related Topics:
mm

Dr. Aviv Yehezkel är medgrundare och CTO för Cynamics, den enda Next Generation (NG) Network Detection and Response (NDR) lösningen på marknaden idag som använder standardiserade sampelprotokoll inbyggda i varje gateway, patenterade algoritmer och AI och maskinlärning, för att tillhandahålla hotprediktion och synlighet i hastighet och skala.